LGPD: confira os principais pontos do novo Guia para Agentes de Tratamento de Pequeno Porte
A Autoridade Nacional de Proteção de Dados (ANPD), órgão federal que fiscaliza o cumprimento da Lei Geral de Proteção de Dados (LGPD), publicou em 04/10/2021 um novo guia orientativo destinado a Agentes de Tratamento de Pequeno Porte.
Desde a entrada em vigor da LGPD, em 18/09/2020, a ANPD tem publicado diversos atos com orientações para o seguimento da Lei. Por exemplo, em 28/05/2021, foi lançado o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”.
Agora, o “Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte” traz indicações de medidas de segurança da informação para agentes e empresas que, “em razão de seu tamanho e eventuais limitações, muitas vezes não possuem dentre o seu corpo de funcionários, pessoas especializadas em segurança da informação e necessitam aprimorá-la em relação ao tratamento de dados pessoais” (conforme dispõe o capítulo de apresentação do Guia).
Confira alguns dos principais pontos trazidos pelo Guia:
Política de segurança da informação
O Guia orienta as empresas, inclusive as de pequeno porte, a implementar uma Política de Segurança da Informação – PSI, que contemple controles relacionados ao tratamento de dados pessoais (ex.: cópias de segurança, uso de senhas, acesso à informação, compartilhamento de dados, atualização de softwares, uso de correio eletrônico, uso de antivírus, entre outros).
Treinamento de funcionários
O Guia sugere algumas medidas que podem ser determinadas em treinamento realizado com funcionários, tais como:
- não clicar em links recebidos na forma de pop-up de ofertas promocionais ou em links desconhecidos que chegam por e-mail;
- manter documentos físicos que contenham dados pessoais dentro de gavetas, e não sobre as mesas;
- não compartilhar logins e senhas de acesso das estações de trabalho;
- bloquear os computadores quando se afastar das estações de trabalho, para evitar o acesso indevido de terceiros;
- entre outras.
Gerenciamento de contratos
Parafraseando o próprio Guia, “é recomendável que termos de confidencialidade (non-disclosure agreement – NDA) sejam assinados com os funcionários da empresa para que estes se comprometam a não divulgar informações confidenciais que envolvam dados pessoais. Esta é uma medida de segurança importante contra abusos de privilégio.”
Nesse sentido, é recomendável que a empresa colha a assinatura dos funcionários em um Termo de Confidencialidade e de Responsabilidade para Utilização de Equipamentos de Informática, Softwares, Documentos, Dados Pessoais e Recursos Tecnológicos.
Além disto, nos termos das sugestões do Guia, também recomenda-se que contratos com parceiros e terceirizados sejam revisados para passar a conter “cláusulas de segurança da informação que assegurem a adequada proteção de dados pessoais” — como, por exemplo, regras sobre compartilhamentos e sobre as relações entre co-controladores ou controlador-operador.
No caso da terceirização dos serviços de descarte de mídias ou registros de papel, pode ser interessante ter um contrato com cláusulas sobre a destruição destes elementos.
Controles de acesso
Alguns dados só podem ser acessados por pessoas autorizadas. O Guia recomenda que os processos de autenticação, autorização e auditoria envolvidos nesse controle de acesso se apliquem a todos os usuários, “com níveis de permissão na proporção da necessidade de trabalhar com o sistema e de acessar dados pessoais”, de acordo com o princípio do menos privilégio (need to know).
Esta medida também demanda um adequado gerenciamento de senhas, podendo as empresas valerem-se de recursos como a autenticação multi-fatores (MFA).
Segurança das comunicações e dos dados pessoais armazenados
Para garantir a segurança das comunicações e dos dados localizados nas bases de dados e computadores da empresa, o Guia recomenda a adoção de recursos e medidas como:
- coletar e processar apenas os dados pessoais que são realmente necessários para atingir os objetivos do tratamento para a finalidade pretendida;
- técnicas de pseudonimização de dados sensíveis (como a criptografia, podendo ser adotados aplicativos com criptografia fim a fim, por exemplo);
- conexões cifradas (com uso de TLS/HTTPS);
- gerenciamento de tráfego de rede (mediante sistema de firewall, por exemplo);
- remoção de dados sensíveis e outros dados pessoais que estejam desnecessariamente disponibilizados em redes públicas;
- evitar o uso de discos rígidos externos, pendrives e outros dispositivos externos;
- entre outras medidas.
Conclusão
Os pontos acima são, como dissemos, apenas alguns entre os trazidos no Guia da ANPD para Agentes de Tratamento de Pequeno Porte. O Guia traz outras orientações, todas bastante diretas e simplificadas, abordando temas como treinamento, uso de dispositivos móveis, computação em nuvem e outros.
Inclusive, o Guia também não é exaustivo. As empresas podem cercar-se de ainda mais recursos para garantir a segurança dos dados e o cumprimento da LGPD.
A Angare e Angher publicou o e-book “LGPD PARA EMPRESAS: O QUE SABER E COMO IMPLANTAR”, com uma sugestão de passo a passo para adequação à LGPD que as empresas podem seguir. Ele pode ser baixado clicando aqui. Este e-book tem teor informativo e não equivale a consulta jurídica, podendo, porém, ser um ponto de partida para empresas que ainda não iniciaram seu processo de adequação à Lei Geral de Proteção de Dados.
Estamos à disposição para maiores esclarecimentos sobre esse e outros temas ligados à LGPD.
